beebright - Fotolia
Ingeniería social, el ataque más allá de la tecnología
México se ha visto inmerso en ataques cibernéticos, especialmente a instituciones gubernamentales, y para tratar este contexto se llevó a cabo el evento Infosecurity 2022, tanto en versión presencial como virtual, tras dos años de pandemia.
Durante 2021 aumentó 37 % el número de empresas víctimas de ransomware a nivel mundial, y más de la mitad de las compañías medianas (66 %) sufrieron robos de información, de acuerdo con datos de Sophos. Sin embargo, a nivel de América Latina, México se convirtió en el país más atacado de la región al recibir 120 mil millones de ataques ese año, en comparación con los 300 millones de 2019, según un reporte de la empresa de ciberseguridad Silikn.
En este entorno se llevó a cabo el evento Infosecurity 2022 en la Ciudad de México, en un modelo híbrido con charlas presenciales y virtuales, donde se destacó la importancia de las actividades de carácter preventivo y correctivo para que tanto las empresas, como los organismos públicos pudieran enfrentar las ciberamenazas.
Entre las diversas charlas del evento, el oficial Edmundo Daniel Silva Cruz, de la Secretaría de Seguridad Ciudadana (SSC) del Gobierno de la Ciudad de México, destacó la importancia de estar informados sobre la ciberseguridad y quiénes pueden ayudarlos a enfrentar un ataque. “Acudimos a instituciones educativas, empresas y a instituciones gubernamentales para hablar sobre temas de ciberseguridad. (Aunque) normalmente estamos investigando los delitos que se cometen a través de internet, esta parte es muy importante conocerla porque la mayoría de las personas no conocen lo que es realmente el trabajo de policía cibernética”, comentó.
Uno de los métodos que más utilizan los delincuentes es la ingeniería social. “La ingeniería social es el acto de engaño que comete el ciberdelincuente con diferentes objetivos, principalmente tenemos el fraude o las estafas; también podríamos hablar acerca de la ingeniería social para cometer otros diversos delitos como el robo de identidad, las extorsiones y demás incidentes que se presentan a través de internet”, mencionó el oficial Silva, y esta forma de robar los datos es más antigua incluso que la misma internet.
El funcionario dijo que los reportes sobre personas cayendo en estos trucos siguen llegando a la policía cibernética, incluso el viejo fraude para robar dinero del “príncipe nigeriano”, que se enviaba por correo electrónico. “Este tipo de engaño utiliza una metodología en la cual a las víctimas se les hacía creer que, a través de un e-mail, un príncipe, o alguna persona del ámbito del gobierno, supuestamente tiene que salir del país (Nigeria) debido a diversos problemas, y solicita la ayuda económica de la víctima a cambio de una cuantiosa recompensa al llegar a su destino”, relata el oficial.
Esta forma de robo ha ido cambiando, y ahora las víctimas reciben llamadas o mensajes a través de diversas plataformas con el pretexto de que algún amigo o un familiar les va a enviar un supuesto regalo de gran valor y requieren un alto depósito para ayudarles a sacarlo de la aduana o “la paquetería necesita pagar algo por exceso de peso, entre otras justificaciones. Incluso hay quienes se hacen pasar por marinos o militares en otro país para enamorar a alguien, y una vez que existe confianza o amistad, este soldado o marino dice que quiere salir del país donde está, de algún conflicto” y pide dinero, afirmó el oficial Silva.
Según la Unidad Cibernética de la Secretaría de Seguridad Ciudadana del Gobierno de la Ciudad de México, la banca es una de las industrias que más se han visto afectadas por los ataques de ingeniería social. Incluso, señaló el oficial Silva Cruz, el organismo ha notado que estos ataques tienen un repunte en temporadas de altas ventas, en especial por internet, como el Buen Fin o Navidad.
“En noviembre llegamos a tener un número mayor de reportes de fraude, porque precisamente los ciberdelincuentes utilizan la ingeniería social a través de llamadas telefónicas”, dijo. También en tiempos de pandemia crecieron los ataques a través de páginas que ofrecían préstamos fáciles o vacunas: “Páginas falsas se dedicaban a vender las supuestas vacunas que todavía no llegaban a nuestro país. El problema no era que se eliminaran estas páginas, sino que el ciberdelincuente cambiaba de producto a ofrecer”. Después de las vacunas, hubo estafas con ventas de tanques de oxígeno y, una vez que la población fue vacunada, con el certificado de vacunación, detalló.
Extorsión cibernética y apps de préstamo
Por otra parte, la suboficial Teresita de Jesús Gómez, integrante del área de prevención de ciberdelitos de la Dirección General Científica de la Guardia Nacional, mencionó que las aplicaciones de préstamos rápidos incrementaron el índice de delitos cibernéticos, debido al acceso que permiten a los ciberdelincuentes hacia los datos personales de los usuarios, que buscan acceder a préstamos más rápidos sin necesidad de entrar a Buró de Crédito.
De acuerdo con cifras del Consejo Ciudadano de Seguridad de México, hay 282 sitios activos identificados como “montadeudas”. La suboficial Gómez explicó que si una app no tiene una buena calificación no debe considerarse como una aplicación segura: “En ocasiones, vemos comentarios de aplicaciones no seguras, en especial las de préstamos, que cuentan con personal de cobranza muy agresivo y extorsionan haciendo contacto con los familiares y publicando información indeseada”.
A través de estas aplicaciones, los atacantes no solamente acceden a datos personales, sino también a los financieros, por lo que, al momento de entrar en contacto con sus víctimas, aprovechan su temor y amenazan con dañarlos a ellos, o a sus familiares. “Para evitar estos acosos y amenazas, los usuarios al descargar estas aplicaciones no deben dar permisos para acceder a sus contactos e información sensible de sus dispositivos, y deben entrar a la página de la Condusef en donde se validan las aplicaciones”, mencionó la suboficial.
Para evitar ser cifras de la ingeniera social, los especialistas recomendaron:
- Revisar la reputación, comentarios y permisos a otorgar, además de la edad recomendada para su uso.
- No ingresar a enlaces sospechosos, pues podrían contener malware.
- Actualizar periódicamente los sistemas de ciberseguridad y las actualizaciones de las aplicaciones.